Kui ohutud on turvatooted? Esimene AVG, nüüd suuremate puudustega TrendMicro

• Kategooria: Turvalisus

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

Google'i teadlane Tavis Ormandy avastas hiljuti Windowsi jaoks mõeldud TrendMicro Antivirus paroolide haldurikomponendis suure lünga, millel oli mitmeid suuri turvaprobleeme, mis muu hulgas võimaldaksid veebisaitidel käitada suvalisi käske, paljastada kõiki salvestatud paroole või käitada turvalist brauserit 'see pole üldse turvaline.

Näib, et Google uurib praegu Windowsi turbetooteid ja eriti neid, mis suhtlevad Chrome'i veebibrauseri või Chromiumiga ühel või teisel viisil.

Ettevõte häbistas AVG-d avalikult jaanuari alguses Chrome'i veebilahenduse TuneUp jaoks, kuna turvavead seavad ohtu 9 miljonit seda kasutavat Chrome'i kasutajat.

TuneUp, mis on installitud koos AVG turvatarkvaraga või eraldi, seab Chrome'i kasutajad ohtu, keelates laienduse installinud Chrome'i kasutajate veebiturbe.

AVG lõi paranduse lõpuks (selleks oli vaja kahte katset, esimene lükati tagasi, kuna see polnud piisav).

TrendMicro paroolihalduri turvaprobleem

Ja nüüd just Google tõrjub avalikult Trend Micro. Ormandy sõnul on seekord süüdlane paroolihalduri komponent, mis installitakse automaatselt TrendMicro Antivirus for Windows ja käivitub ( ja ka saadaval kui eraldiseisev programm ja rakendus).

See toode on kirjutatud peamiselt JavaScripti koos sõlmega.js ja avab API-taotluste käsitlemiseks mitu HTTP RPC-porti.

Juhusliku käskluse täitmist võimaldava OpenUrlInDefaultBrowser, mis lõpuks kaardistab ShellExecute (), leidmiseks kulus umbes 30 sekundit.

See tähendab, et iga veebisait võib käivitada suvalisi käske [..]

TrendMicro töötajale antud vastuses lisas Ormandy järgmise teabe:

Kuule, tahtsin lihtsalt kontrollida, kas siin on värskendusi? See on vaikimisi installimisel triviaalselt kasutatav ja leitav ning ilmselgelt töökindel - minu arvates peaksite inimesi otsima, et see fikseerida.

FWIW, on isegi võimalik MOTW-st mööda hiilida ja käsklusi luua ilma igasuguste vigadeta. Lihtne viis seda teha (Windows 7-is testitud) oleks HTA-faili sisaldava ZIP-faili automaatne allalaadimine ja seejärel selle käivitamine [..]

Esimene osa, mille TrendMicro saatis Travis Ormandyle kontrollimiseks, fikseeris programmi ühe peamise probleemi (ShellExecute'i kasutamise), kuid see ei hoolitsenud muude probleemide eest, mida koodi töötlemata uurimisel märgati.

Ormandy märkis näiteks, et üks TrendMicro kasutatavatest rakendusliidestest tekitas Chromiumi iidse ehituse (brauseri versioon 41, mis on nüüd saadaval versioonina 49) ja et see keelab brauseri liivakasti peal, pakkudes ' turvaline brauser 'oma kasutajatele.

Tema vastus TrendMicrole oli nüri:

Te piilusite lihtsalt globaalseid objekte ja kutsusite brauseri kesta ...? ... ja nimetades seda siis turvaliseks brauseriks?!? See, et käitate ka vanemat versiooni --disable-liivakastiga, lisab vigastusi veelgi.

Ma isegi ei tea, mida öelda - kuidas saaksite selle asja * vaikimisi * kõigil oma klientide automaatidel lubada ilma pädeva turbekonsultandi auditita?

Ja viimane, kuid mitte vähem tähtis, avastas Ormandy, et programm pakkus paroolide halduris salvestatud paroolidele juurdepääsu jaoks kena puhast API-d ja et keegi lihtsalt luges kõiki salvestatud paroole.

Kasutajatel palutakse installimisel eksportida oma brauseri paroolid, kuid see pole kohustuslik. Arvan, et ründaja saab seda sundida / exportBrowserPasswords API-ga, nii et isegi see ei aita. Saatsin selle kohta e-kirja:

Minu arvates peaksite selle funktsiooni kasutajate jaoks ajutiselt välja lülitama ja ajutiste häirete pärast vabandust paluma ning seejärel koodi kontrollimiseks palkama välise konsultandi. Minu kogemustega turumüüjatega suhtlemisel on kasutajad üsna andeks andnud vigu, kui müüjad tegutsevad kiiresti nende kaitsmisel, kui nad on probleemist teada saanud, arvan, et kõige hullem, mida saate teha, on jätta kasutajad paljastatuks, kuni te seda asja koristate. Valik on muidugi teie.

Näib, et vaatamata TrendMicro pingutustele ja mitmele viimase paari päeva jooksul toodetud plaastrile pole probleem kirjutatud ajal täielikult lahendatud.

Turvatarkvara on olemuselt ebakindel?

Peamine küsimus, mis sellest peaks välja tulema, on 'kui turvalised on turvatooted'? Viirusetõrje valdkonnas tegutsevad peamised mängijad tekitavad kahes tootes kaht peamist probleemi, eriti kuna on olemas võimalus, et need pole ainsad, kes ei näi olevat oma tooteid korralikult turvanud.

Lõppkasutajate jaoks on peaaegu võimatu öelda, et midagi on valesti, mis jätab nad ebakindlasse olukorda. Kas nad saavad andmete turvalisuse tagamiseks oma turvalahendust usaldada või on see oht, et just tarkvara, mis peaks nende arvuteid turvama, ohustab seda?